如果您授予用户roles/logging.viewer权限，则他们只能查看StackDriver服务，而不能访问其他服务，例如存储。

仅提供roles/logging.viewer会出现什么错误？您还可以附加屏幕截图吗？

根据documentation并如上面@pradeep所述，标题为“ Logs Viewer”的角色（如果授予用户），实际上已授予该用户查看GCP中的Stackdriver Logs的权限日志记录控制台视图。您可以根据文档进行验证，以查看（最小的只读访问）GCP控制台中的Stackdriver Logs，以下权限是必需的：

• logging.logEntries.list

• logging.logs.list

• logging.logServiceIndexes.list

• logging.logServices.list

• resourcemanager.projects.get

，它们包含在aforementioned role中。

我通过访问我的GCP控制台中的“ IAM和管理员”部分来转载您的案件。我添加了一个Gmail帐户的新成员。在下面的图片中，添加新成员时，您可能会看到可用的选项：

在选择角色时，我在“要过滤的类型”搜索字段中键入“ log”，并添加了“ Logs Viewer”角色，如下所示：

具有我刚刚添加的电子邮件的用户，可以通过选择相应的项目在控制台中查看日志。

此外，Google Groups是一种将访问策略应用于用户集合的便捷方法。不过，我的示例是检查一个拥有gmail帐户的用户。

一些其他有用的信息：

在调查过程中，我发现具有“日志查看器”角色的用户将无法使用"gcloud logging logs list" command查看日志，而是会收到一条错误消息，表明该角色缺少权限。运行“ gcloud日志记录列表”命令所需的权限是“ serviceusage.services.usage”权限，该权限由“编辑者”和项目“所有者”角色以及其他角色使用。我了解这不是您的问题，但我也提到了这一点，以防万一您遇到它。

此问题上有一个Public Issue Tracker，默认情况下在角色role / logging.viewer中包含权限“ serviceusage.services.use”，因此您将来不必手动进行操作。目前，您需要手动添加权限。

由于我不确定您的用户为什么无法在控制台中查看日志，所以由于我的复制成功，因此请附上问题的屏幕截图并进一步详细说明问题吗？

（例如：

• 描述如何授予角色/logging.viewer

• 您的解决方法（授予项目查看器）是否允许用户通过控制台查看日志？

• 在授予角色/logging.viewer时，用户或您在尝试查看日志时收到错误消息吗？ ）